BizTalk Server 보안 관리

보안 Microsoft BizTalk Server 환경을 유지 관리하려면 계정, 인증서 및 암호를 관리해야 합니다.

BizTalk Server 그룹

BizTalk Server에서 처리하는 비즈니스 문서의 보안을 위해 BizTalk Server 관리자는 다음과 같은 계정과 인증서를 관리합니다.

• BizTalk Server 관리자 그룹: 사용자가 BizTalk 관리 콘솔을 통해 또는 WMI(Microsoft Windows Management Instrumentation) 공급자를 사용하여 관리 작업을 수행하려면 Microsoft SQL Server 및 Microsoft Windows에서 적절한 권한을 부여받아야 합니다. 관리 작업에 대한 권한에 대한 자세한 내용은 최소 보안 사용자 권한을 참조하세요.

  BizTalk Server Administrators 그룹에 사용자를 추가하거나 BizTalk Server Administrators 그룹에서 사용자를 제거하는 방법에 대한 자세한 내용은 BizTalk Server 관리자 그룹을 관리하는 방법을 참조하세요.

  Enterprise Single Sign-On에 대한 자세한 내용은 SSO 사용을 참조하세요.

• BizTalk Server 연산자 그룹: BizTalk Server 운영자는 모니터링 및 문제 해결 작업에만 액세스할 수 있는 권한이 낮은 역할입니다.

  BizTalk Server 운영자 그룹의 구성원은 다음을 수행할 수 있습니다.

  • 서비스 상태 및 메시지 흐름을 볼 수 있습니다.

  • 응용 프로그램을 시작하거나 중지할 수 있습니다.

  • 오케스트레이션을 시작하거나 중지할 수 있습니다.

  • 송신 포트 또는 송신 포트 그룹을 시작하거나 중지할 수 있습니다.

  • 수신 위치를 사용하거나 사용하지 않도록 설정할 수 있습니다. 다음 캐시 새로 고침 간격의 기본값인 60초가 경과해야 변경 내용이 적용됩니다. 캐시 새로 고침 간격은 BizTalk Server 그룹 수준에서 설정됩니다.

  • 서비스 인스턴스를 종료하고 다시 시작할 수 있습니다.

    BizTalk Server 운영자 그룹의 구성원은 다음을 수행할 수 없습니다.

  • BizTalk Server의 구성을 수정할 수 없습니다.

  • PII(개인 식별이 가능한 정보) 또는 메시지 본문으로 분류된 메시지 컨텍스트 속성을 볼 수 없습니다.

  • BizTalk Server 런타임에 메시지를 게시하는 기능을 비롯하여 메시지 라우팅 과정을 수정합니다(예: 실행 중인 시스템에 새 등록 추가 또는 제거).

  참고

  • BizTalk Server 운영자 그룹의 구성원인 사용자가 BizTalk Server를 실행하는 컴퓨터의 로컬 관리자이기도 한 경우 이 사용자는 해당 컴퓨터에서 운영자 그룹 역할 이상의 데이터 액세스 권한을 가질 수 있습니다. 자세한 내용은 최소 보안 사용자 권한을 참조하세요.

  • BizTalk Server 운영자 그룹의 구성원인 사용자가 원격 BizTalk Server를 모니터링할 수 있도록 하려면 이 사용자가 원격 컴퓨터에서 로컬 관리자 그룹의 구성원이어야 합니다.

• BizTalk Server 읽기 전용 사용자 그룹: 2020년 BizTalk Server 시작하는 새 그룹입니다. 이 그룹의 멤버는 아티팩트, 서비스 상태, 메시지 흐름 및 추적 정보를 볼 수 있습니다. 구성원은 관리 작업을 수행할 권한이 없습니다.

  BizTalk Server 읽기 전용 사용자 그룹의 구성원은 다음을 수행할 수 있습니다.

  • 사용자 아티팩트 정보 보기

  • 수신 포트, 수신 위치, 송신 포트, 오케스트레이션, 지도, 정책, 파이프라인, 호스트, 호스트 인스턴스 및 어댑터와 같은 플랫폼 아티팩트 보기

  • 메시지 흐름 및 메시지 이벤트를 봅니다. 메시지 컨텍스트 및 메시지 콘텐츠를 볼 수 없습니다.

  • 일반 서비스 인스턴스 세부 정보 및 오류 정보를 봅니다.

  • 추적 정보를 봅니다.

  • 당사자 및 계약 정보를 봅니다.

  • 그룹 허브 페이지를 보고, 쿼리를 실행하고, 쿼리를 저장하고, 쿼리를 로드합니다.

  • 바인딩, 정책 및 MSI를 내보낼 수 있지만 가져올 수는 없습니다.

  참고

  BizTalk Server 읽기 전용 사용자 그룹의 구성원인 사용자가 BizTalk Server 실행하는 컴퓨터의 로컬 관리자인 경우 이 사용자는 이러한 컴퓨터에서 연산자 그룹의 역할 이외의 데이터에 액세스할 수 있습니다. 자세한 내용은 최소 보안 사용자 권한을 참조하세요.

• 호스트 및 서비스 계정: 호스트 및 연결된 호스트 인스턴스를 만들 때 호스트에 대한 Windows 그룹 및 각 호스트 instance 대한 서비스 계정 자격 증명을 제공해야 합니다. 호스트 인스턴스 서비스 계정이 호스트에 대한 Windows 그룹의 구성원인지 확인해야 합니다.

• 서명 인증서: BizTalk 그룹에 서명 인증서(프라이빗 키 인증서)가 지정됩니다. 서명 인증서는 선택 사항이며 BizTalk Server 관리자가 언제든지 변경할 수 있습니다.

  BizTalk Server 사용하는 Windows 계정에 대한 자세한 내용은 BizTalk Server Windows 그룹 및 사용자 계정을 참조하세요.

다음 단계

• Windows 그룹 및 사용자 계정 관리에 대한 모범 사례

• 인증서 관리에 대한 모범 사례

• Windows 그룹 및 사용자 계정 관리